Impostazioni delle comunicazioni in entrata CSIv2 (Common Secure Interoperability versione 2)

Utilizzare questa pagina per specificare le funzioni supportate da un server per un client che deve accedere alle relative risorse.

Per visualizzare questa pagina della console di gestione, completare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Autenticazione, fare clic su Sicurezza RMI/IIOP > Comunicazioni in entrata CSIv2.

Utilizzare le impostazioni delle comunicazioni in entrata CSI (Common Secure Interoperability) per la configurazione del tipo di informazioni di autenticazione contenute in una richiesta in entrata o nel trasporto.

Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:
Propagare gli attributi di sicurezza

Specificare per supportare la propagazione dell'attributo di sicurezza durante le richieste di login. Selezionando questa opzione, il server delle applicazioni conserva altre informazioni sulla richiesta di login, ad esempio il livello di autenticazione utilizzato e mantiene l'identità e la posizione dell'autore della richiesta.

Se non si seleziona questa opzione, il server delle applicazioni non accetta altre informazioni di login da estendere ai server a valle.

Valore predefinito: Abilitato
Utilizzare l'asserzione d'identità

Specifica che l'asserzione di identità è un modo per asserire le identità da un server all'altro durante un richiamo EJB (Enterprise JavaBean) di downstream.

Questo server non autentica nuovamente l'identità asserita perché considera affidabile il server a monte. L'asserzione di identità ha la precedenza su tutti gli altri tipi di autenticazione.

L'asserzione di identità viene eseguita al livello di attributo ed è applicabile solo ai server. Il principal determinato sul server si basa su regole di precedenza. Se viene utilizzata l'asserzione di identità, l'identità deriva sempre dal livello di attributo. Se l'autenticazione base viene utilizzata senza l'asserzione di identità, l'identità deriva sempre dal livello del messaggio. Infine, se l'autenticazione del certificato client SSL viene eseguita senza l'autenticazione di base o l'asserzione di identità, l'identità deriva dal livello di trasporto.

L'identità asserita è la credenziale di richiamo, determinata dalla modalità RunAs per il bean enterprise. Se la modalità RunAs è Client, l'identità è quella del client. Se la modalità RunAs è Sistema, l'identità è quella del server. Se la modalità RunAs è Specificata, l'identità è quella indicata. Il server ricevente riceve l'identità in un token di identità e anche l'identità del server trasmittente in un token di autenticazione client. Il server ricevente convalida l'identità del server trasmittente come identità sicura, tramite la casella di immissione ID server sicuro. Immettere un elenco di nomi principali separati dalla barra verticale (|), ad esempio, serverid1|serverid2|serverid3.

Tutti i tipi di token di identità sono mappati al campo ID utente del registro utenti attivo. Per un token di identità ITTPrincipal, questo token consente una mappatura uno-a-uno con i campi ID utente. Per un token di identità ITTDistinguishedName, il valore dal primo segno di uguale viene mappato sul campo ID utente. Per un token di identità ITTCertChain, il valore dal primo segno di uguale del DN (Distinguished Name) viene mappato sul campo ID utente.

Durante l'autenticazione di un registro utenti LDAP, i filtri LDAP determinano il modo in cui un'identità di tipo ITTCertChain e ITTDistinguishedName viene mappata sul registro. Se il tipo di token è ITTPrincipal, il principal viene mappato sul campo UID nel registro LDAP.

Valore predefinito: Disabilitato
Identità sicure

Specifica l'identità garantita inviata dal server mittente al server ricevente.

[AIX Solaris HP-UX Linux Windows] [iSeries] Specifica un elenco di ID utente amministratore server, che risultano sicuri per eseguire l'asserzione di identità su tale server. Ad esempio, serverid1|serverid2|serverid3. Il server delle applicazioni supporta il simbolo virgola (,) come delimitatore elenco per la compatibilità con le versioni precedenti. Il server delle applicazioni controlla il simbolo virgola se la barra verticale (|) non riesce a trovare un ID server sicuro valido.

[z/OS] Specifica un elenco di ID del server sicuri, separati da punto e virgola (;) o virgola (,), per utilizzare l'asserzione di identità su tale server. Ad esempio, il seguente elenco potrebbe comprendere ID attendibili: serverid1;serverid2;serverid3 o serverid1,serverid2,serverid3.

Utilizzare questo elenco per stabilire se un server è sicuro o meno. Anche se il server è sull'elenco, il server trasmittente deve essere autenticato con quello ricevente per poter accettare il token di identità del server trasmittente.

Tipo di dati: Stringa
Autenticazione certificati client

Indica che l'autenticazione si verifica quando la connessione iniziale viene effettuata tra il client e il server durante una richiesta di metodo.

Nel livello di trasporto, viene eseguita l'autenticazione del certificato client SSL. Nel livello del messaggio viene utilizzata l'Autenticazione base (ID utente e password). Generalmente, l'autenticazione del certificato client è migliore dell'autenticazione del livello del messaggio, ma richiede ulteriori attività di impostazione. Tali attività riguardano la verifica che il server consideri affidabile il certificato del firmatario di ciascun client al quale è connesso. Se il client utilizza una CA (Certificate Authority) per creare il certificato personale, è necessario solo il certificato root della CA nella sezione firmatario del server del file sicuro SSL.

[AIX Solaris HP-UX Linux Windows] [iSeries] Quando il certificato viene autenticato su un registro utenti LDAP (Lightweight Directory Access Protocol), il nome DN viene mappato in base al filtro specificato durante la configurazione di LDAP. Se il certificato viene autenticato su un registro utenti OS locale, il primo attributo del DN nel certificato, normalmente il nome comune, viene mappato all'ID utente nel registro.

[z/OS] Se il certificato viene autenticato su un registro utenti OS locale, viene mappato all'ID utente nel registro.

L'identità derivante dai certificati client viene utilizzata qualora non vi fossero altri livelli di autenticazione presenti sul server.

Mai
Specifica che i client non possono tentare l'autenticazione del certificato client SSL con questo server.
Servizi directory
Specifica che i client che si collegano a questo server possono effettuare l'autenticazione utilizzando i certificati client SSL. Tuttavia, il server può richiamare un metodo senza questo tipo di autenticazione. Ad esempio, utilizzando un accesso anonimo o un'autenticazione base.
Obbligatorio
Specifica che i client che si collegano a questo server devono effettuare l'autenticazione utilizzando i certificati client SSL prima di richiamare il metodo.
Transport

Specifica se i processi del client si collegano al server utilizzando uno dei trasporti collegati.

È possibile scegliere SSL (Secure Sockets Layer), TCP/IP o entrambi come trasporto in entrata supportato da un server. Se si specifica TCP/IP, il server supporta solo TCP/IP e non può accettare connessioni SSL. Se si specifica SSL supportato, questo server può supportare le connessioni TCP/IP o SSL. Se si specifica SSL obbligatorio, qualsiasi server che comunica con questo server deve utilizzare SSL.

Nota: Questa opzione non è disponibile sulla piattaforma z/OS a meno che nella cella non siano presenti sia la versione 6.0.x e i nodi precedenti.
TCP/IP
Se si seleziona TCP/IP, il server apre solo una porta listener TCP/IP e tutte le richieste in entrata non dispongono della protezione SSL.
Obbligatorio con SSL
Se si seleziona SSL obbligatorio, il server apre solo una porta listener SSL e tutte le richieste in entrata vengono ricevute tramite SSL.
SSL supportato
Se si seleziona SSL supportato, il server apre una porta listener TCP/IP e SSL e la maggior parte delle richieste in entrata vengono ricevute mediante SSL.
Fornire un numero di porta corretto per le seguenti porte. Un numero di porta zero indica che, durante il runtime, verrà effettuata un'assegnazione dinamica. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Valore predefinito: SSL supportato
Intervallo: TCP/IP, SSL obbligatorio, SSL supportato
Impostazioni SSL

Specifica un elenco di impostazioni SSL predefinite da cui scegliere per la connessione in uscita.

[z/OS] Nota: Questa opzione non è disponibile sulla piattaforma z/OS a meno che nella cella non siano presenti sia la versione 6.0.x e i nodi precedenti.
Tipo di dati: Stringa
[AIX Solaris HP-UX Linux Windows] [iSeries] Valore predefinito: DefaultSSLSettings
[z/OS] Valore predefinito: DefaultIIOPSSL
Intervallo: Qualsiasi impostazione SSL configurata nel Repertorio di configurazione SSL
Autenticazione del livello di messaggio

Per l'autenticazione a livello di messaggio sono disponibili le seguenti opzioni:
Mai
Specifica che il server non può accettare l'autenticazione di ID utente e password.
Servizi directory
Specifica che un client in comunicazione con questo server può specificare un ID utente ed una password. Tuttavia, è possibile richiamare un metodo senza questo tipo di autenticazione. Ad esempio, è possibile utilizzare un certificato client o un accesso anonimo.
Obbligatorio
Specifica che i client che comunicano con questo server devono specificare un ID utente e la password per qualsiasi richiesta di metodo.
Consenti autenticazione client-server con:

Specifica l'autenticazione da client-a-server tramite l'autenticazione di base, LTPA o Kerberos.

Per l'autenticazione client-server sono disponibili le seguenti opzioni:
Kerberos (KRB5)
Selezionare per specificare Kerberos come meccanismo di autenticazione. Occorre configurare il meccanismo di autenticazione Kerberos. Per ulteriori informazioni , consultare Configurazione di Kerberos come meccanismo di autenticazione utilizzando la console di gestione.
LTPA
Selezionare per specificare l'autenticazione token LTPA
Autenticazione di base
L'autenticazione di base è GSSUP (Generic Security Services Username Password). Questo tipo di autenticazione, generalmente, implica l'invio di un ID utente e di una password dal client al server per l'autenticazione.

Se si seleziona Autenticazione di base e LTPA e il meccanismo di autenticazione attivo è LTPA, un nome utente, una password e i token LTPA vengono accettati.

Se si seleziona Autenticazione di base e KRB5 e il meccanismo di autenticazione attivo è KRB5, vengono accettati un nome utente, una password e i token Kerberos e LTPA.

Se non si seleziona Autenticazione di base, non vengono accettati un nome utente e una password al server.

Configurazione login

Specifica il tipo di configurazione login di sistema da utilizzare per l'autenticazione in entrata.

È possibile aggiungere dei moduli di login personalizzati facendo clic su Sicurezza > Sicurezza globale. In Autenticazione, fare clic su Java Authentication and Authorization Service > Log di sistema.

Sessioni stateful

Selezionare questa opzione per abilitare sessioni stateful, utilizzate principalmente per miglioramenti delle prestazioni.

Il primo contatto tra un client e il server deve essere autenticato completamente. Tuttavia, tutti i contatti successivi con sessioni valide riutilizzano le informazioni sulla sicurezza. Il client invia un ID di contesto al server e l'ID viene utilizzato per ricercare la sessione. L'ID di contesto si trova nell'ambito della connessione e ciò garantisce l'univocità. Ogni volta che la sessione di sicurezza non è valida ed è abilitato il nuovo tentativo di autenticazione (impostazione predefinita), l'intercettatore di sicurezza del client non convalida la sessione dal lato client ed inoltra nuovamente la richiesta senza informare l'utente. Ciò potrebbe verificarsi se la sessione non è presente sul server ;il server non ha completato con successo l'operazione e riprende quest'ultima. Quando questo valore è disabilitato, tutte le chiamate ai metodi devono essere autenticate nuovamente.

Valore predefinito: Abilitato
Realm di autenticazione sicuri - in entrata

Selezionare questo collegamento per stabilire l'affidabilità in entrata per i realm. Le impostazioni dei realm di autenticazione in entrata non sono specifiche per CSIv2; inoltre, è possibile configurare i realm per garantire l'affidablità in entrata per più domini di sicurezza.

L'autenticazione in entrata indica la configurazione che determina quale tipo di autenticazione viene accettata per le richieste in entrata. Tale autenticazione viene indicata nell'IOR (interoperable object reference) che il client richiama dal server dei nomi.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate
Riferimenti correlati
Impostazione della voce di configurazione del login di sistema per JAAS (Java Authentication and Authorization Service)
Meccanismi di autenticazione e scadenza


Nome file: usec_inbound.html